あなたはクレジットカード裏に記載されている「セキュリティコード」の役割を理解していますでしょうか?
「セキュリティコード」は、ICチップには記録されていないおかげで、情報漏洩防止に役立っているのです。
では詳しい仕組みを説明していきます。
クレジットカードには、カード表面に
- 16桁または15桁の番号
- 有効期限
- 名義人となる氏名(アルファベット表記)
が記載されています。
ICチップカード搭載が増えているものの、
- スキミング被害にあった際
- カード番号を第三者に知られてしまった時
に役立つものとして、セキュリティコード(セキュリティ番号)という存在があるわけです。
では、セキュリティコードは、なぜ3桁または4桁と一律ではなく呼び方もセキュリティ番号と呼ばれることも多くまちまちなのでしょうか。
クレジットカードのセキュリティコード(セキュリティ番号)は現物カードが手元にある証明となる
クレジットカードのセキュリティコードは、クレジットカードの現物が手元にあるという間接的な証明を行うために付けられています。
対面取引を行う際には、必要に応じて
- 暗証番号入力
- 署名
を求めることが出来ますが、通販利用時のオンライン決済では直接クレジットカード両面の写真を送ってもらうことは不正利用防止の観点から認められていません。
しかし、オンライン決済の利便性は現金との差別化を図るために重要な方法となっているので、セキュリティコードにより
- クレジットカード番号
- 有効期限
だけでは判断出来ないようにしているわけです。
クレジットカードのセキュリティコード(セキュリティ番号)は3桁または4桁
クレジットカードのセキュリティコードは、3桁または4桁と一律ではありませんが、多くの場合で3桁となっています。
なぜなら、セキュリティコードが登場した時点で各国際決済ブランドの多くはクレジットカード番号が16桁表記となっていたからです。
AmericanExpress(通称AMEX)のみが1桁少ない15桁表記となっていて、代わりにセキュリティコードが4桁となりセキュリティコードまで含めた合計桁数は19桁で統一されています。
セキュリティコード(セキュリティ番号)の正式名称は国際決済ブランドにより異なる
セキュリティコードは、CCVと表記されることが多くなっています。
しかし、実際に使われている3桁または4桁のセキュリティコードには、それぞれ固有の方法で生成された数値が割り当てられていて正式名称はバラバラです。
では、実際にどのような名称で呼ばれているのでしょうか。
CVV
Card Verification Valueの頭文字を取ったVISA用のセキュリティコードです。
正式にはCVVがVISA用のセキュリティコードシステムのことを指し、実際のセキュリティコード自体はCVV2という表現が正確となっています。
クレジットカード裏面署名欄に記載されている最後の数字3桁が該当し、署名欄の右上に独立してCVV2が表記されている場合があります。
バーチャルカードの場合には、CVV2自体が表面に表記されていることがあるので、実カード以外の場合にはそもそも署名欄が無いためにCVV2の位置が表面に移動しているわけです。
CVC
Card Validation Codeの頭文字を取ったMasterCard用のセキュリティコードです。
正式にはCVCがMasterCard用のセキュリティコードシステムのことを指し、実際に入力を求められるのはCVC2という数字3桁となります。
クレジットカード裏面署名欄に記載されている右上の数字最後から3桁が該当し、署名欄とは独立してCVC2が記載されていることもあります。
CID
Card Identification NumberというAmericanExpressCard専用のセキュリティコードです。
AMEXは元々クレジットカード番号が15桁と1桁少なく、セキュリティコードは逆に1桁多い4桁となっています。
他のクレジットカードが署名欄右上にセキュリティコードがありますが、AMEXはカード表面のクレジットカード番号右上に別途印字してあるわけです。
署名欄への印字とは異なり、クレジットカード表面へ事前に印字してあるからこそ、耐摩耗性に優れていて消えてしまったというトラブル報告がほとんどありません。
CCV
セキュリティコード全体のことを指すCCVは、元々専用の呼び方を用意していないDinersClubとJCBでも共通して分かるようにセキュリティコードの略号として使われています。
- CVV2
- CVC2
- CID
という表記を行った時点でそれぞれの国際決済ブランド名がすぐに分かりますが、専門用語を用意していない国際決済ブランドであっても近年はセキュリティコードを付与しているために共通用語が必要となるわけです。
なぜセキュリティコード(セキュリティ番号)でクレジットカードの安全性が保たれるのか
セキュリティコードを利用するのは、日本国内では主に通販サイトにおいてオンライン決済を行う場合です。
しかし、アメリカでは対面販売時であってもセキュリティコードの番号提示を求められることが少なくありません。
では、なぜセキュリティコードでクレジットカードの安全性が保たれるのでしょうか。
セキュリティコードはクレジットカードのICチップに記録されていない
セキュリティコードは、クレジットカードのICチップに記録されていないので、実際の硬質プラスチック製クレジットカードの現物を持っていない限り番号が分かりません。
クレジットカードには、ICチップと磁気テープにより
- クレジットカード番号
- 有効期限
- 氏名情報
が記録されています。
暗証番号についてもICチップ内に暗号化された状態で記録されていることから、ICチップ搭載クレジットカードは暗証番号変更を行うとクレジットカード自体の交換が行われるわけです。
ICチップは偽造防止技術により書き換えが出来ない工夫がされているので、一度設定した暗証番号を変えるとクレジットカードそのものを変更しなければなりません。
スキミングやクレジットマスター被害に遭ってもセキュリティコード番号は漏洩しない
クレジットカードの磁気テープとICチップには情報として搭載されていないので、セキュリティ番号は
- スキミング被害
- ランダムにクレジットカード番号を生成するクレジットマスター被害
のリスクがありません。
日本国内でも夜の街で遊び歩いた後でスキミング被害に遭ったという例はありますが、海外ではリスクが更に大きくなることは想像に難くありません。
このため、アメリカでは対面式販売にも関わらずセキュリティコードの提示を求めることがあるくらいです。
- スキミングによるクレジットカード複製
- クレジットマスターによりランダムに生成したクレジットカード
は、セキュリティコードについての情報が無いために提示を求められても正規の番号を提示出来ません。
- サインを真似ること
- PINコードと呼ばれる暗証番号を盗み取ること
は出来ても、セキュリティコード番号はクレジットカードの券面を見ない限り分かりません。
では、もしクレジットカードの署名欄がクレジットカードの摩耗により削れてしまっている場合にはどうすれば良いのでしょうか。
カード会社へ電話連絡してセキュリティコードが削れて見えなくなっていることを伝えてクレジットカード再発行を依頼するしかありません。
CVKキーによりセキュリティコード番号は生成される
セキュリティコードは各社異なる名称で呼ばれていますが、クレジットカードが発行される時点で
- CVV2
- CVC2
- CID
- CCV
のコード値が新たに生成されます。
カード会社が生成するセキュリティコード番号は、下記のような情報を暗号キーCVKにより符号化した上で算出されます。
- クレジットカード番号
- 有効期限
- サービスコード
CVKキーはCard Verification Keyと呼ばれていて、CVKキーを知らない限りは発行されたクレジットカードに対するセキュリティコード番号は分かりません。
つまり、クレジットカードを発行した会社のみがCVKキーを保持しているために、後からセキュリティコードを調べようとしても意味が無いわけです。
より安全性を高めるために、セキュリティコード番号が漏洩していると考えられる場合には、クレジットカード番号そのものを変更することによりセキュリティコード自体も変わります。
クレジットカードのCCVはセキュリティコードの総称
クレジットカードのCCVは、国際決済ブランドにより異なる名称が付けられているセキュリティコード番号の総称です。
JCBとDinersCardでは特別なセキュリティコードに対する呼び方が存在しないために、CCVという名称が一般的な記号となっています。
スキミング対策としてクレジットカードのCCVは有効に機能するが万全ではない
クレジットカード決済を利用する際には、店舗で対面使用する際にクレジットカードそのものが消費者本人の視野から外れるタイミングが無いか常に確認しておく必要があります。
スキミング対策やクレジットマスターを防止する意味では、対面式販売時であってもセキュリティコードの提示を求める方法はある程度
- スキミング被害防止
- クレジットカードマスター制度の悪用
には繋がりません。
スキミング被害防止と共にセキュリティコードを見られていないか確認することが出来れば、少なくともスキミング被害によるクレジットカード不正利用をある程度防げます。
それでもクレジットカード加盟店自体がセキュリティコードをメモに控えるといった犯罪行為に走った場合には、完全に防げるものではありません。
また、通販サイトにおいては決済画面へ入力したセキュリティコードは店舗側で控えを保管すること自体を禁止しています。
しかし、通販サイトの中にはスキミングの延長として暗証番号まで調べてしまいかねません。
クレジットカード会社にとっては盗難補償対象とするかどうかの基準となる
クレジットカード会社の立場からは、セキュリティコードを使って本人確認を取っていれば、少なくともクレジットカード不正利用の抑止力となるという考え方があります。
消費者にとっては、クレジットカード決済時にセキュリティコードを入力することで、オーソリティー通過出来れば手間が減って良いと考える人が多いです。
実際に通販サイトの中にはセキュリティコード入力無しに商品決済を完了させることが出来ないように設定している所が少なくありません。
なぜなら、通販サイトにおいて盗難補償対象となる条件として、セキュリティコードによる本人確認を行った上で買い物をすることに了承しているからてす。
クレジットカードのCCV管理は保有者の責任範囲
CCV番号の管理は、クレジットカードを保有している消費者本人の責任であって、セキュリティコードが流出したと考えられる場合には、最初にカード会社へ連絡して基本的な質問を受けます。
消費者本人がクレジットカードの管理不十分によりセキュリティコードを流出させてしまった場合には、盗難補償対象外となりかねません。
思い当たる節がある場合には、実被害が出る前にクレジットカード会社へ電話連絡してクレジットカード再発行に伴いカード番号そのものを変更してしまうと良いです。
新たなセキュリティコードとして3Dセキュアを導入するカード会社が増えている
クレジットカード券面に印字されたセキュリティコード番号は、券面を確認しなければ分からないように工夫されています。
しかし、2段階認証としては不十分なセキュリティコードは、3桁または4桁の数字しか当てはまりません。
そこで、よりオンライン通販を普及促進するために、3Dセキュア認証と呼ばれています。
事前に本人が設定したパスワードを入力しなければならない点を考慮すると、セキュリティコードのみに頼りすぎずに3Dセキュア対応クレジットカードを利用すれば安心を買うことが出来ます。
クレジットカードのセキュリティコード(セキュリティ番号)は自分を守るために管理を徹底しよう
クレジットカード決済を行う際に必要なサインと暗証番号入力は、本人確認を行う上で必要なことです。
しかし、更に安全性を高める工夫としてクレジットカードにはセキュリティコードと呼ばれる3桁または4桁のコードがあります。
クレジットカード不正利用を防止するための方法として、クレジットカードのセキュリティコードを幅広く進めて行く必要があります。
クレジットカードの基礎から知りたいという方は、下記の記事も参考になるかと思います。
クレジットカードについて理解を深めることでトラブルを避けることにもつながるので、ぜひ読んでみてください。